周天王的愚人节-NFT精准钓鱼事件技术分析与资金流向分析

  • SharkTeam
  • 更新于 2022-04-02 20:53
  • 阅读 3577

NFT 精准钓鱼事件技术分析与资金流向分析

2022年4月1日,愚人节,周杰伦在Instagram上发文称持有的BAYC#3738 NFT(该 NFT 在今年1月由黄立成赠送)已被盗了!同时被盗的还有MAYC #16500 Doodles #768 Doodles #725,价值169.6 ETH,超过300万元。 image.png

SharkTeam第一时间对此事件进行了技术分析和资金流向分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、 技术分析

攻击者地址:0xe34f004bdef6f069b92dc299587d6c8a731072da

(1)周董被钓鱼,应该是通过某个钓鱼网站将0x71de2开头的钱包地址签名授权(approve)交易,将NFT的权限授予了攻击者地址(0xe34f00),这时周董还没意识到自己的NFT已经处于风险之中。

(2)仅仅过去几分钟,攻击者就将这4个NFT转移到自己的地址中。 image.png

(3)在LooksRare和OpenSea上将盗取的NFT卖掉,获得约169.6 ETH image.png

(4)通过地址0x6e85c36e75dc03a80f2fa393055935c7f3185b15将脏款转入Tornado混币平台。 image.png

值得注意的是,攻击地址(0xe34f00)在3、4天前在开始使用,整个攻击过程很明显不是通过合约自动化执行,而是有人放出“诱饵”后等待周董上钩,之后一气呵成,在很短时间内手动操作完成。我们分析这次不同于之前面向所有用户的OpeaSea钓鱼事件,而是一次针对周董的精准钓鱼攻击,可能是周董周围的人通过特定钓鱼网站获得了周董的钱包地址授权。

(1) 攻击者一方面知道周董具体的钱包地址,所以能第一时间发觉周董账号上钩并立即执行后续。

(2) 攻击地址在此次攻击前和攻击后都没有进行任何其他钓鱼攻击,处于静默,这不符合钓鱼攻击的行为逻辑。

二、资金流向分析

私钥失窃后周董的OpenSea账户将BAYC#3738发送给了E34F00,该账户迅速出售了NFT并注销了在OpenSea上的账户。 image.png

通过ChainAegis进行链上查询,周杰伦链上地址为0x71de2148051a7544a082178b3e6a6dd1e0fe97a1,BAYC#3738失窃后该地址将其他拥有的NFT转移到了0xa13985568ec4656810ead16cb36264cad3109dca。 image.png

image.png 通过ChainAegis进行链上查询,攻击者链上地址为:

0xe34F004BDef6F069b92dc299587D6c8A731072Da,已被系统标签库标记为钓鱼地址。 image.png

进一步追踪发现销赃地址为0x59728544b08ab483533076417fbbb2fd0b17ce3a: image.png

通过ChainAegis标签库查得该地址为LooksRare NFT交易所合约地址,判断攻击者通过该交易所对BAYC#3738完成了销赃。 image.png

销赃后攻击者将赃款转移至0x6E85C36e75dc03A80F2fA393055935C7f3185b15,后通过Tornado.Cash对赃款进行洗钱操作。 image.png

三、安全建议

SharkTeam提醒您,不要访问您不熟悉或不确定的网站,坚决不要将您的地址授权给任何您不确定的合约或项目。

Website: https://www.sharkteam.org/

Telegram: https://t.me/sharkteamorg

Twitter:https://twitter.com/sharkteamorg

更多区块链安全咨询与分析,点击下方链接查看

D查查|链上风险核查 https://m.chainaegis.com/

点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
SharkTeam
SharkTeam
0xC0f5...8888
SharkTeam是领先的Web3安全服务提供商,提供智能合约审计、链上分析和应急响应服务。 Web: https://www.sharkteam.org Telegram: https://t.me/sharkteamorg Twitter:https://twitter.com/sharkteamorg